滲透測試是一項模擬駭客思維對網站與主機進行攻擊的技術。透過找出網頁的漏洞,分析這些漏洞造成的弱點可能產生的危害後,進而針對這些弱點給予修復的建議,將公司可能面臨的風險降低。
在執行滲透測試前,最重要的是要先與雇主擬定合約,取得合法滲透授權。
在沒有合法取得授權的情況下任意對網站、主機進行攻擊,將會觸犯妨害電腦使用罪:入侵電腦或其相關設備罪(刑法§ 358)、破壞電磁紀錄罪(刑法§ 359)、干擾電腦或其相關設備罪(刑法§ 360)、製作供犯罪之電腦程式罪(刑法§ 362),同時若是對公務機關之電腦或其相關設備犯刑法§358、刑法§359與刑法§360,則會加重其刑至二分之一。
因此在執行滲透測是前是否有取得合法授權是非常重要的一件事,若是少了這項流程,欸嘿~ 恭喜獲得妨害電腦使用罪全家餐。
在取得授權後,接著會開始進行資訊蒐集、漏洞識別、漏洞利用、撰寫報告(內容多會包含修復建議),最後進行修復複測,一系列的流程,而這整趟流程執行至撰寫報告,至少需要花費一個月的時間。但由於目前滲透測試並沒有一套標準化的流程,因此上述流程會存在些許差異。
看影片追技術
看更多
